Blog

Codice della privacy, semplificazioni

In materia di Codice della Privacy si segnalano due provvedimenti che hanno parzialmente modificato la normativa. I provvedimenti in esame sono:

  • A) l’art. 29 del d.l. 112/2008, convertito con la legge n. 133/2008 (c.d. manovra d’estate);
  • B) il Provvedimento del Garante del 19 giugno 2008.

A) Con la legge 6 agosto 2008 n. 133, è stato convertito in legge il “decreto dell’estate” (DL 25 giugno 2008, n. 112).

Documento Programmatico sulla sicurezza (DPS). Tra le semplificazioni introdotte all’art. 29 si sottolinea la possibilità di non dover più redigere il documento programmatico sulla sicurezza (D.P.S.) laddove il trattamento riguardi solo dati non sensibili e, quando riguardi dati sensibili, questi devono essere costituiti unicamente:

  1. dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi;
  2. dall’adesione ad organizzazioni sindacali o a carattere sindacale.

I dati sensibili indicati sono quindi quasi sempre quelli trattati dai datori di lavoro per la gestione delle assenze per malattia o per le ritenute sindacali da effettuare sulla busta paga. I titolari del trattamento di questi soli dati potranno, in alternativa al D.P.S. rendere una autocertificazione, ai sensi dell’art. 47 d.P.R. n. 445/2000, in cui si dichiari, appunto, di trattare solamente tali tipi di dati in osservanza delle altre misure di sicurezza prescritte dalla normativa sulla Privacy.

Per completezza si ricorda che l’autocertificazione di cui al sopra citato art. 47 consiste in una dichiarazione resa e sottoscritta dal titolare del trattamento dei dati a cui deve essere aggiunta una copia fotostatica non autenticata di un documento di identità del sottoscrittore.

In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, dovrà emanare un proprio provvedimento, da aggiornare periodicamente, indicando le modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime. Detto provvedimento, nonostante la previsione di due mesi dalla pubblicazione della norma, non è stato, però, ad oggi ancora emesso.

Notificazione al Garante. La norma in esame ha modificato l’art. 38 del Codice della Privacy prevedendo una esplicita indicazione delle informazioni che il titolare del trattamento dei dati deve fornire attraverso il sito web del Garante, utilizzando l’apposito modello. In particolare la norma prevede che la necessità di fornire tutte e soltanto le seguenti informazioni: a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato; b) la o le finalità del trattamento; c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati previsti verso Paesi terzi; f) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.

Per completezza si ricorda che la notifica del trattamento dei dati deve avvenire solo se il trattamento riguarda i casi previsti dall’art. 37 Codice della Privacy.

Trasferimento dati verso paesi extra U.E. Si segnala inoltre la modifica apportata al Codice sulla Privacy a proposito del trasferimento dei dati verso un paese extra U.E., consentito in tutti i casi previsti dall’art. 43 Codice della Privacy ed ora altresì consentito, con la nuova formulazione dell’art. 44 del Codice della Privacy, quando è autorizzato dal Garante sulla base di adeguate garanzie, per i diritti dell’interessato, individuate dal Garante anche in relazione a quelle prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio del nostro Stato, in base al presente codice, anche in ordine all’inosservanza delle garanzie medesime

B) Provvedimento del Garante del 19 giugno 2008 (G.U. 01.07.2008, n. 152), doc. web n. 1526724 – Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili.

Il Garante è intervenuto semplificando gli adempimenti burocratici per le piccole e medie imprese, liberi professionisti e artigiani nell’ambito della ordinaria gestione amministrativa e contabile anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi.

In particolare il provvedimento concerne l’informativa ed il consenso.

Informativa. I soggetti summenzionati possono: 1) fornire un’unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati; 2) redigere, per quanto possibile, una prima informativa breve. All’interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l’informativa breve, quando è scritta, può avere la seguente formulazione:

“I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su…”;

3) per l’informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili; 4) l’informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell’ultimo aggiornamento; 5) è possibile non inserire nell’informativa più articolata gli elementi noti all’interessato (art. 13, commi 2 e 4). E’ opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l’informativa. Vanno utilizzate espressioni efficaci, ammesse in forma sintetica, anche per quanto riguarda i diritti degli interessati e l’organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall’interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l’informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5); 6) è opportuno che l’informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento; 7) è invece necessario fornire un’informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori).

Il Garante ha invitato le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamenti. Lo stesso prevede anche di mettere a disposizione gratuitamente un kit di istruzioni concrete e fac-simili per semplificare gli adempimenti.

Viene richiama l’attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all’unità cui sono addetti gli incaricati stessi (art. 30); Consenso. Ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice invita tutti i titolari del trattamento, pubblici e privati, a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico.

Consenso – materiale pubblicitario. In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato, ai fini dell’invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che: a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; b) l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento (art. 7, comma 4); c) l’interessato medesimo, così adeguatamente informato già prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.

Comments are closed, but trackbacks and pingbacks are open.